美國(guó)新思科技公司  （Synopsys, Nasdaq: SNPS近日發(fā)布了《2019年開源安全和風(fēng)險(xiǎn)分析》（OSSRA）報(bào)告 。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心（CyRC）制作，審查了由黑鴨審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的超過1,200個(gè)商業(yè)應(yīng)用程序和庫(kù)的審計(jì)結(jié)果。報(bào)告重點(diǎn)介紹了開源應(yīng)用的趨勢(shì)和模式，以及不安全的開源組件和許可證沖突的普遍性。

　　報(bào)告顯示，現(xiàn)在企業(yè)面臨著開源應(yīng)用風(fēng)險(xiǎn)管理的挑戰(zhàn)，這些難題在過去幾年就已經(jīng)有苗頭了。然而，數(shù)據(jù)還表明現(xiàn)在已經(jīng)達(dá)到了一個(gè)拐點(diǎn)，由于風(fēng)險(xiǎn)意識(shí)和商業(yè)軟件組件分析解決方案成熟度的提高，許多企業(yè)提升了其管理開源風(fēng)險(xiǎn)的能力。

　　新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey 表示：“開源在現(xiàn)代軟件開發(fā)和部署中發(fā)揮著越來越重要的作用，但要實(shí)現(xiàn)其價(jià)值，企業(yè)需要從安全性和許可證合規(guī)的角度來理解和管理它如何影響其風(fēng)險(xiǎn)態(tài)勢(shì)。2019年OSSRA報(bào)告提供了商業(yè)應(yīng)用程序中開源風(fēng)險(xiǎn)管理的狀況概覽。報(bào)告表明現(xiàn)在仍然存在重大挑戰(zhàn)，絕大多數(shù)的應(yīng)用程序包含開源安全漏洞和許可證沖突，但同時(shí)也強(qiáng)調(diào)這些挑戰(zhàn)是可以解決的，因?yàn)殚_源漏洞和許可證沖突的數(shù)量與去年相比有所下降。”

　　報(bào)告顯示開源軟件的使用本身并不是問題，實(shí)際上這對(duì)軟件創(chuàng)新至關(guān)重要。但是未能積極主動(dòng)地鑒別和管理任何與開源組件使用有關(guān)的安全和許可證風(fēng)險(xiǎn)，可能極具破壞性。雖然風(fēng)險(xiǎn)因素仍然存在，2019年OSSRA報(bào)告數(shù)據(jù)表明，在Equifax數(shù)據(jù)泄露之后，開源風(fēng)險(xiǎn)意識(shí)的提高和商業(yè)軟件組件分析解決方案的成熟度已經(jīng)取得了進(jìn)展：

　　欲了解更多，請(qǐng)下載：https://www.synopsys/zh-cn/software-integrity/resources/reports/2019-open-source-security-risk-analysis.html?cmp=pr-sig2019年OSSRA報(bào)告 。